Η Andariel, η απειλητική συμμορία που συνδέεται με τη Βόρεια Κορέα, χρησιμοποιεί στις επιθέσεις της ένα νέο backdoor, ονόματι Dora RAT, βασισμένο σε Golang, κατά εκπαιδευτικών ιδρυμάτων, κατασκευαστικών εταιρειών και επιχειρήσεων στη Νότια Κορέα.
“Τα εργαλεία Keylogger, Infostealer και proxy πάνω από το backdoor χρησιμοποιήθηκαν στις επιθέσεις,” ανέφερε το AhnLab Security Intelligence Center (ASEC) σε μια έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα. “Ο παράγοντας απειλής πιθανότατα αξιοποίησε αυτά τα κακόβουλα λογισμικά για να ελέγξει και να υποκλέψει δεδομένα από τα μολυσμένα συστήματα.”
Διαβάστε περισσότερα: Γιατί τα εισερχόμενά σας εξακολουθούν να αποτυγχάνουν στον αποτελεσματικό αποκλεισμό του malware;
Οι επιθέσεις αξιοποιούν έναν ευάλωτο server Apache Tomcat για τη διάδοση κακόβουλου λογισμικού, σημείωσε η νοτιοκορεατική εταιρεία κυβερνοασφάλειας. Η ίδια πρόσθεσε ότι το σύστημα, το οποίο λειτουργούσε με έκδοση Apache Tomcat του 2013, είναι επιρρεπές σε πολυάριθμες ευπάθειες.
Το μέλλον της φιλοξενίας: Το πρώτο 3D-printed ξενοδοχείο
Το Andariel, γνωστό και ως Nicket Hyatt, Onyx Sleet και Silent Chollima, είναι μια ομάδα προηγμένης επίμονης απειλής (APT) που δρα υπέρ των στρατηγικών συμφερόντων της Βόρειας Κορέας από το 2008 και έπειτα.
Ένα sub-cluster της συμμορίας Lazarus, ο αντίπαλος έχει ιστορικό χρήσης spear-phishing, επιθέσεων watering hole και εκμετάλλευσης γνωστών ευπαθειών ασφαλείας σε λογισμικό για την απόκτηση αρχικής πρόσβασης και τη διανομή κακόβουλου λογισμικού σε στοχευμένα δίκτυα.
Η ASEC δεν παρείχε λεπτομέρειες για την αλυσίδα επίθεσης που χρησιμοποιείται για την ανάπτυξη κακόβουλου λογισμικού, αλλά ανέφερε τη χρήση μιας παραλλαγής γνωστού κακόβουλου λογισμικού με την ονομασία Nestdoor. Το Nestdoor διαθέτει δυνατότητες λήψης και εκτέλεσης εντολών από απομακρυσμένο διακομιστή, αποστολής και λήψης αρχείων, εκκίνησης αντίστροφης λειτουργίας κελύφους, καταγραφής δεδομένων από το πρόχειρο και πατημάτων πλήκτρων, και λειτουργίας ως διακομιστής μεσολάβησης.
Δείτε ακόμη: KVRT: Το νέο εργαλείο της Kaspersky για σάρωση και αφαίρεση ιών σε Linux
Επιπλέον, στις επιθέσεις χρησιμοποιήθηκε ένα πρωτοεμφανιζόμενο backdoor με την ονομασία Dora RAT. Περιγράφεται ως ένα “απλό στέλεχος κακόβουλου λογισμικού” με δυνατότητες αντίστροφου shelll και λήψης/φόρτωσης αρχείων.
“Ο χάκερ έχει υπογράψει και διανείμει το κακόβουλο λογισμικό Dora RAT χρησιμοποιώντας έγκυρο πιστοποιητικό,” ανέφερε η ASEC. “Επιβεβαιώθηκε ότι ορισμένα από τα στελέχη του Dora RAT που χρησιμοποιήθηκαν στην επίθεση είχαν υπογραφεί με έγκυρο πιστοποιητικό από έναν προγραμματιστή λογισμικού στο Ηνωμένο Βασίλειο.”
Μερικά από τα άλλα κακόβουλα λογισμικά που χρησιμοποιούνται στις επιθέσεις περιλαμβάνουν ένα keylogger, το οποίο εγκαθίσταται μέσω μιας ελαφριάς παραλλαγής του Nestdoor, καθώς και ένα ειδικό πρόγραμμα κλοπής πληροφοριών και έναν διακομιστή μεσολάβησης SOCKS5. Ο τελευταίος εμφανίζει λειτουργίες που μοιάζουν με ένα παρόμοιο εργαλείο μεσολάβησης που χρησιμοποιήθηκε από την ομάδα Lazarus στην εκστρατεία ThreatNeedle του 2021.
Δείτε επίσης: Το νέο RAT malware AllaSenha στοχεύει τράπεζες στη Βραζιλία
«Η συμμορία Andariel είναι μία από τις πιο δραστήριες ομάδες απειλών στην Κορέα, μαζί με τις ομάδες Kimsuky και Lazarus», ανέφερε η ASEC. «Αρχικά, η ομάδα στόχευε στην απόκτηση πληροφοριών σχετικά με την εθνική ασφάλεια, αλλά πλέον επιτίθεται και για οικονομικά οφέλη».
Πηγή: thehackernews
